Pré-requisitos para implantar o Serviço de Aplicativo no Azure Stack HubPrerequisites for deploying App Service on Azure Stack Hub

Importante

Atualize o Hub Azure Stack para uma versão com suporte (ou implante a Kit de Desenvolvimento do Azure Stack mais recente), se necessário, antes de implantar ou atualizar o provedor de recursos do serviço de aplicativo (RP).Update Azure Stack Hub to a supported version (or deploy the latest Azure Stack Development Kit) if necessary, before deploying or updating the App Service resource provider (RP). Certifique-se de ler as notas de versão do RP para saber mais sobre novas funcionalidades, correções e problemas conhecidos que podem afetar sua implantação.Be sure to read the RP release notes to learn about new functionality, fixes, and any known issues that could affect your deployment.

Versão do hub de Azure Stack com suporteSupported Azure Stack Hub version Versão do RP do serviço de aplicativoApp Service RP version
20082008 instalador de 2020. Q3 (notas de versão)2020.Q3 Installer (release notes)
20052005 instalador de 2020. Q2 (notas de versão)2020.Q2 Installer (release notes)
20022002 instalador de 2020. Q2 (notas de versão)2020.Q2 Installer (release notes)

Antes de implantar Azure App serviço no Azure Stack Hub, você deve concluir as etapas de pré-requisito neste artigo.Before you deploy Azure App Service on Azure Stack Hub, you must complete the prerequisite steps in this article.

Antes de começarBefore you get started

Esta seção lista os pré-requisitos para implantações de sistema integrado e Kit de Desenvolvimento do Azure Stack (ASDK).This section lists the prerequisites for both integrated system and Azure Stack Development Kit (ASDK) deployments.

Pré-requisitos do provedor de recursosResource provider prerequisites

Se você já tiver instalado um provedor de recursos, provavelmente terá concluído os seguintes pré-requisitos e poderá ignorar esta seção.If you've already installed a resource provider, you've likely completed the following prerequisites, and can skip this section. Caso contrário, conclua estas etapas antes de continuar:Otherwise, complete these steps before continuing:

  1. Registre sua instância de Hub de Azure Stack com o Azure, se você ainda não tiver feito isso.Register your Azure Stack Hub instance with Azure, if you haven't done so. Essa etapa é necessária, pois você estará se conectando e baixando itens no Marketplace do Azure.This step is required as you'll be connecting to and downloading items to marketplace from Azure.

  2. Se você não estiver familiarizado com o recurso de Gerenciamento do Marketplace do portal do administrador do Hub de Azure Stack, examine baixar itens do Marketplace do Azure e publicar no Hub de Azure Stack.If you're not familiar with the Marketplace Management feature of the Azure Stack Hub administrator portal, review Download marketplace items from Azure and publish to Azure Stack Hub. O artigo orienta você pelo processo de baixar itens do Azure para o Marketplace do hub de Azure Stack.The article walks you through the process of downloading items from Azure to the Azure Stack Hub marketplace. Ele abrange cenários conectados e desconectados.It covers both connected and disconnected scenarios. Se sua instância de Hub de Azure Stack for desconectada ou parcialmente conectada, haverá pré-requisitos adicionais a serem concluídos na preparação para a instalação.If your Azure Stack Hub instance is disconnected or partially connected, there are additional prerequisites to complete in preparation for installation.

  3. Atualize seu diretório inicial do Azure Active Directory (AD do Azure).Update your Azure Active Directory (Azure AD) home directory. A partir do Build 1910, um novo aplicativo deve ser registrado em seu locatário do diretório base.Starting with build 1910, a new application must be registered in your home directory tenant. Este aplicativo permitirá que Azure Stack Hub crie e registre provedores de recursos mais novos (como hubs de eventos, Hub IoT e outros) com seu locatário do Azure AD.This app will enable Azure Stack Hub to successfully create and register newer resource providers (like Event Hubs, IoT Hub, and others) with your Azure AD tenant. Essa é uma ação única que precisa ser feita após a atualização para o Build 1910 ou mais recente.This is an one-time action that needs to be done after upgrading to build 1910 or newer. Se essa etapa não for concluída, haverá falha nas instalações do provedor de recursos do Marketplace.If this step isn't completed, marketplace resource provider installations will fail.

Scripts de instalador e auxiliarInstaller and helper scripts

  1. Baixe o serviço de aplicativo em scripts auxiliares de implantação de Hub Azure Stack.Download the App Service on Azure Stack Hub deployment helper scripts.

  2. Baixe o serviço de aplicativo no instalador do Hub Azure Stack.Download the App Service on Azure Stack Hub installer.

  3. Extraia os arquivos do arquivo. zip dos scripts auxiliares.Extract the files from the helper scripts .zip file. Os seguintes arquivos e pastas são extraídos:The following files and folders are extracted:

    • Common.ps1Common.ps1
    • Create-AADIdentityApp.ps1Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1Get-AzureStackRootCert.ps1
    • Pasta dos módulosModules folder
      • GraphAPI. psm1GraphAPI.psm1

Configuração de certificados e servidores (sistemas integrados)Certificates and server configuration (Integrated Systems)

Esta seção lista os pré-requisitos para implantações de sistema integradas.This section lists the prerequisites for integrated system deployments.

Requisitos de certificadoCertificate requirements

Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:To run the resource provider in production, you must provide the following certificates:

  • Certificado de domínio padrãoDefault domain certificate
  • Certificado de APIAPI certificate
  • Publicando certificadoPublishing certificate
  • Certificado de identidadeIdentity certificate

Certificado de domínio padrãoDefault domain certificate

O certificado de domínio padrão é colocado na função de front-end.The default domain certificate is placed on the front-end role. Os aplicativos de usuário para curinga ou solicitação de domínio padrão para Azure App serviço usam esse certificado.User apps for wildcard or default domain request to Azure App Service use this certificate. O certificado também é usado para operações de controle do código-fonte (kudu).The certificate is also used for source control operations (Kudu).

O certificado deve estar no formato. pfx e deve ser um certificado curinga de três entidades.The certificate must be in .pfx format and should be a three-subject wildcard certificate. Esse requisito permite que um certificado cubra o domínio padrão e o ponto de extremidade do SCM para operações de controle do código-fonte.This requirement allows one certificate to cover both the default domain and the SCM endpoint for source control operations.

FormatoFormat ExemploExample
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certificado de APIAPI certificate

O certificado de API é colocado na função de gerenciamento.The API certificate is placed on the Management role. O provedor de recursos usa-o para ajudar a proteger as chamadas à API.The resource provider uses it to help secure API calls. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.The certificate for publishing must contain a subject that matches the API DNS entry.

FormatoFormat ExemploExample
API. appservice. <region> . <DomainName> .<extension>api.appservice.<region>.<DomainName>.<extension> API. appservice. Redmond. azurestack. externalapi.appservice.redmond.azurestack.external

Publicando certificadoPublishing certificate

O certificado para a função Publicador protege o tráfego de FTPS para proprietários de aplicativo ao carregar conteúdo.The certificate for the Publisher role secures the FTPS traffic for app owners when they upload content. O certificado para publicação deve conter um assunto que corresponda à entrada DNS de FTPS.The certificate for publishing must contain a subject that matches the FTPS DNS entry.

FormatoFormat ExemploExample
FTP. appservice. <region> . <DomainName> .<extension>ftp.appservice.<region>.<DomainName>.<extension> FTP. appservice. Redmond. azurestack. externalftp.appservice.redmond.azurestack.external

Certificado de identidadeIdentity certificate

O certificado para o aplicativo de identidade permite:The certificate for the identity app enables:

  • Integração entre o diretório Azure Active Directory (Azure AD) ou Serviços de Federação do Active Directory (AD FS) (AD FS), o Hub Azure Stack e o serviço de aplicativo para dar suporte à integração com o provedor de recursos de computação.Integration between the Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS) directory, Azure Stack Hub, and App Service to support integration with the compute resource provider.
  • Cenários de logon único para ferramentas avançadas de desenvolvedor no serviço Azure App no Hub Azure Stack.Single sign-on scenarios for advanced developer tools within Azure App Service on Azure Stack Hub.

O certificado para identidade deve conter um assunto que corresponda ao formato a seguir.The certificate for identity must contain a subject that matches the following format.

FormatoFormat ExemploExample
SSO. appservice. <region> . <DomainName> .<extension>sso.appservice.<region>.<DomainName>.<extension> SSO. appservice. Redmond. azurestack. externalsso.appservice.redmond.azurestack.external

Validar certificadosValidate certificates

Antes de implantar o provedor de recursos do serviço de aplicativo, você deve validar os certificados a serem usados usando a ferramenta Verificador de preparação do Hub Azure Stack disponível no Galeria do PowerShell.Before deploying the App Service resource provider, you should validate the certificates to be used by using the Azure Stack Hub Readiness Checker tool available from the PowerShell Gallery. A ferramenta Verificador de preparação do Hub Azure Stack valida que os certificados PKI gerados são adequados para a implantação do serviço de aplicativo.The Azure Stack Hub Readiness Checker Tool validates that the generated PKI certificates are suitable for App Service deployment.

Como prática recomendada, ao trabalhar com qualquer um dos certificados de PKI de Hub necessários Azure Stack, você deve planejar tempo suficiente para testar e reemitir certificados, se necessário.As a best practice, when working with any of the necessary Azure Stack Hub PKI certificates, you should plan enough time to test and reissue certificates if necessary.

Preparar o servidor de arquivosPrepare the file server

Azure App serviço requer o uso de um servidor de arquivos.Azure App Service requires the use of a file server. Para implantações de produção, o servidor de arquivos deve ser configurado para ser altamente disponível e capaz de lidar com falhas.For production deployments, the file server must be configured to be highly available and capable of handling failures.

Modelo de início rápido para servidor de arquivos altamente disponível e SQL ServerQuickstart template for Highly Available file server and SQL Server

Um modelo de início rápido da arquitetura de referência agora está disponível que implantará um servidor de arquivos e SQL Server.A reference architecture quickstart template is now available that will deploy a file server and SQL Server. Este modelo dá suporte à infraestrutura Active Directory em uma rede virtual configurada para dar suporte a uma implantação altamente disponível do serviço Azure App no Hub Azure Stack.This template supports Active Directory infrastructure in a virtual network configured to support a highly available deployment of Azure App Service on Azure Stack Hub.

Observação

A instância do sistema integrado deve ser capaz de baixar recursos do GitHub a fim de concluir a implantação.The integrated system instance must be able to download resources from GitHub in order to complete the deployment.

Etapas para implantar um servidor de arquivos personalizadoSteps to deploy a custom file server

Importante

Se você optar por implantar o serviço de aplicativo em uma rede virtual existente, o servidor de arquivos deverá ser implantado em uma sub-rede separada do serviço de aplicativo.If you choose to deploy App Service in an existing virtual network, the file server should be deployed into a separate Subnet from App Service.

Observação

Se você tiver optado por implantar um servidor de arquivos usando qualquer um dos modelos de início rápido mencionados acima, poderá ignorar esta seção, pois os servidores de arquivos são configurados como parte da implantação do modelo.If you have chosen to deploy a file server using either of the Quickstart templates mentioned above, you can skip this section as the file servers are configured as part of the template deployment.

Provisionar grupos e contas no Active DirectoryProvision groups and accounts in Active Directory
  1. Crie os seguintes grupos de segurança global do Active Directory:Create the following Active Directory global security groups:

    • FileShareOwnersFileShareOwners
    • FileShareUsersFileShareUsers
  2. Crie as contas de Active Directory a seguir como contas de serviço:Create the following Active Directory accounts as service accounts:

    • FileShareOwnerFileShareOwner
    • FileShareUserFileShareUser

    Como prática recomendada de segurança, os usuários dessas contas (e para todas as funções Web) devem ser exclusivos e ter nomes de usuário e senhas fortes.As a security best practice, the users for these accounts (and for all web roles) should be unique and have strong usernames and passwords. Defina as senhas com as seguintes condições:Set the passwords with the following conditions:

    • Habilitar a senha nunca expira.Enable Password never expires.
    • Habilitar usuário não pode alterar a senha.Enable User cannot change password.
    • Desabilitar o usuário deve alterar a senha no próximo logon.Disable User must change password at next logon.
  3. Adicionar as contas às associações de grupo, desta forma:Add the accounts to the group memberships as follows:

    • Adicione FileShareOwner ao grupo FileShareOwners .Add FileShareOwner to the FileShareOwners group.
    • Adicione FileShareUser ao grupo FileShareUsers .Add FileShareUser to the FileShareUsers group.
Provisionar grupos e contas em um grupo de trabalhoProvision groups and accounts in a workgroup

Observação

Quando você estiver configurando um servidor de arquivos, execute todos os comandos a seguir em um prompt de comando de administrador.When you're configuring a file server, run all the following commands from an Administrator Command Prompt.
*Não use o PowerShell. _*Don't use PowerShell. _

Quando você usa o modelo de Azure Resource Manager, os usuários já estão criados.When you use the Azure Resource Manager template, the users are already created.

  1. Execute os seguintes comandos para criar as contas FileShareOwner e FileShareUser.Run the following commands to create the FileShareOwner and FileShareUser accounts. Substitua <password> pelos seus próprios valores.Replace <password> with your own values.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Defina as senhas para as contas que nunca expiram executando os seguintes comandos do WMIC:Set the passwords for the accounts to never expire by running the following WMIC commands:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Crie os grupos locais FileShareUsers e FileShareOwners e adicione as contas na primeira etapa a eles:Create the local groups FileShareUsers and FileShareOwners, and add the accounts in the first step to them:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Provisionar o compartilhamento de conteúdoProvision the content share

O compartilhamento de conteúdo contém conteúdo de site de locatário.The content share contains tenant website content. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes de Active Directory e de grupo de trabalho.The procedure to provision the content share on a single file server is the same for both Active Directory and workgroup environments. Mas é diferente para um cluster de failover no Active Directory.But it's different for a failover cluster in Active Directory.

Provisionar o compartilhamento de conteúdo em um único servidor de arquivos (Active Directory ou grupo de trabalho)Provision the content share on a single file server (Active Directory or workgroup)

Em um único servidor de arquivos, execute os comandos a seguir em um prompt de comando elevado.On a single file server, run the following commands at an elevated command prompt. Substitua o valor de C:\WebSites pelos caminhos correspondentes no seu ambiente.Replace the value for C:\WebSites with the corresponding paths in your environment.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configurar controle de acesso para os compartilhamentosConfigure access control to the shares

Execute os comandos a seguir em um prompt de comando elevado no servidor de arquivos ou no nó de cluster de failover, que é o proprietário atual do recurso de cluster.Run the following commands at an elevated command prompt on the file server or on the failover cluster node, which is the current cluster resource owner. Substitua valores em itálico por valores específicos do seu ambiente.Replace values in italics with values that are specific to your environment.

Active DirectoryActive Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant _S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupo de trabalhoWorkgroup

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Prepare a instância do SQL ServerPrepare the SQL Server instance

Observação

Se você tiver optado por implantar o modelo de início rápido para servidor de arquivos altamente disponível e SQL Server, poderá ignorar esta seção enquanto o modelo é implantado e configura SQL Server em uma configuração de alta disponibilidade.If you've chosen to deploy the Quickstart template for Highly Available File Server and SQL Server, you can skip this section as the template deploys and configures SQL Server in a HA configuration.

Para o serviço de Azure App em bancos de dados de hospedagem e medição de Hub Azure Stack, você deve preparar uma instância de SQL Server para manter os bancos de dados do serviço de aplicativo.For the Azure App Service on Azure Stack Hub hosting and metering databases, you must prepare a SQL Server instance to hold the App Service databases.

Para fins de alta disponibilidade e de produção, você deve usar uma versão completa do SQL Server 2014 SP2 ou posterior, habilitar a autenticação de modo misto e implantá-la em uma configuração altamente disponível.For production and high-availability purposes, you should use a full version of SQL Server 2014 SP2 or later, enable mixed-mode authentication, and deploy in a highly available configuration.

A instância de SQL Server para o serviço Azure App no Hub Azure Stack deve ser acessível de todas as funções do serviço de aplicativo.The SQL Server instance for Azure App Service on Azure Stack Hub must be accessible from all App Service roles. Você pode implantar SQL Server na assinatura do provedor padrão no Azure Stack Hub.You can deploy SQL Server within the Default Provider Subscription in Azure Stack Hub. Ou você pode fazer uso da infraestrutura existente dentro de sua organização (desde que haja conectividade com o Hub Azure Stack).Or you can make use of the existing infrastructure within your organization (as long as there's connectivity to Azure Stack Hub). Se você estiver usando uma imagem do Azure Marketplace, lembre-se de configurar o firewall adequadamente.If you're using an Azure Marketplace image, remember to configure the firewall accordingly.

Observação

Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso de gerenciamento do Marketplace.A number of SQL IaaS VM images are available through the Marketplace Management feature. Certifique-se de sempre baixar a versão mais recente da extensão IaaS do SQL antes de implantar uma VM usando um item do Marketplace.Make sure you always download the latest version of the SQL IaaS Extension before you deploy a VM using a Marketplace item. As imagens do SQL são as mesmas que as VMs do SQL que estão disponíveis no Azure.The SQL images are the same as the SQL VMs that are available in Azure. Para VMs do SQL criadas com base nessas imagens, a extensão de IaaS e os aprimoramentos do portal correspondente fornecem recursos como a aplicação automática de patches e recursos de backup.For SQL VMs created from these images, the IaaS extension and corresponding portal enhancements provide features such as automatic patching and backup capabilities.

Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada.For any of the SQL Server roles, you can use a default instance or a named instance. Se você usar uma instância nomeada, não se esqueça de iniciar manualmente o serviço de SQL Server Browser e abrir a porta 1434.If you use a named instance, be sure to manually start the SQL Server Browser service and open port 1434.

O instalador do serviço de aplicativo verificará se o SQL Server tem a contenção de banco de dados habilitada.The App Service installer will check to ensure the SQL Server has database containment enabled. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do serviço de aplicativo, execute estes comandos SQL:To enable database containment on the SQL Server that will host the App Service databases, run these SQL commands:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Configuração de servidor e certificados (ASDK)Certificates and server configuration (ASDK)

Esta seção lista os pré-requisitos para implantações do ASDK.This section lists the prerequisites for ASDK deployments.

Certificados necessários para a implantação do ASDK do serviço de Azure AppCertificates required for ASDK deployment of Azure App Service

O script de Create-AppServiceCerts.ps1 funciona com a autoridade de certificação de Hub de Azure Stack para criar os quatro certificados que o serviço de aplicativo precisa.The Create-AppServiceCerts.ps1 script works with the Azure Stack Hub certificate authority to create the four certificates that App Service needs.

Nome do arquivoFile name UseUse
. appservice. local. azurestack. external. pfx.appservice.local.azurestack.external.pfx Certificado SSL padrão do serviço de aplicativoApp Service default SSL certificate
API. appservice. local. azurestack. external. pfxapi.appservice.local.azurestack.external.pfx Certificado SSL da API do serviço de aplicativoApp Service API SSL certificate
FTP. appservice. local. azurestack. external. pfxftp.appservice.local.azurestack.external.pfx Certificado SSL do Publicador do serviço de aplicativoApp Service publisher SSL certificate
SSO. appservice. local. azurestack. external. pfxsso.appservice.local.azurestack.external.pfx Certificado do aplicativo de identidade do serviço de aplicativoApp Service identity application certificate

Para criar os certificados, siga estas etapas:To create the certificates, follow these steps:

  1. Entre no host ASDK usando a conta AzureStack\AzureStackAdmin.Sign in to the ASDK host using the AzureStack\AzureStackAdmin account.
  2. Abra uma sessão do PowerShell elevada.Open an elevated PowerShell session.
  3. Execute o script Create-AppServiceCerts.ps1 da pasta onde você extraiu os scripts auxiliares.Run the Create-AppServiceCerts.ps1 script from the folder where you extracted the helper scripts. Esse script cria quatro certificados na mesma pasta que o script que o serviço de aplicativo precisa para criar certificados.This script creates four certificates in the same folder as the script that App Service needs for creating certificates.
  4. Insira uma senha para proteger os arquivos. pfx e anote-o.Enter a password to secure the .pfx files, and make a note of it. Você deve inseri-lo mais tarde, no serviço de aplicativo no instalador do Hub Azure Stack.You must enter it later, in the App Service on Azure Stack Hub installer.

Create-AppServiceCerts.ps1 parâmetros de scriptCreate-AppServiceCerts.ps1 script parameters

ParâmetroParameter Obrigatório ou opcionalRequired or optional Valor padrãoDefault value DescriçãoDescription
pfxPasswordpfxPassword ObrigatórioRequired NuloNull Senha que ajuda a proteger a chave privada do certificadoPassword that helps protect the certificate private key
DomainNameDomainName ObrigatórioRequired local. azurestack. externallocal.azurestack.external Região do hub de Azure Stack e sufixo de domínioAzure Stack Hub region and domain suffix

Modelo de início rápido para o servidor de arquivos para implantações do serviço de Azure App no ASDK.Quickstart template for file server for deployments of Azure App Service on ASDK.

Somente para implantações ASDK, você pode usar o modelo de implantação Azure Resource Manager de exemplo para implantar um servidor de arquivos de nó único configurado.For ASDK deployments only, you can use the example Azure Resource Manager deployment template to deploy a configured single-node file server. O servidor de arquivos de nó único estará em um grupo de trabalho.The single-node file server will be in a workgroup.

Observação

A instância ASDK deve ser capaz de baixar recursos do GitHub para concluir a implantação.The ASDK instance must be able to download resources from GitHub in order to complete the deployment.

Instância do SQL ServerSQL Server instance

Para o serviço de Azure App em bancos de dados de hospedagem e medição de Hub Azure Stack, você deve preparar uma instância de SQL Server para manter os bancos de dados do serviço de aplicativo.For the Azure App Service on Azure Stack Hub hosting and metering databases, you must prepare a SQL Server instance to hold the App Service databases.

Para implantações de ASDK, você pode usar SQL Server Express 2014 SP2 ou posterior.For ASDK deployments, you can use SQL Server Express 2014 SP2 or later. SQL Server deve ser configurado para dar suporte à autenticação de modo misto porque o serviço de aplicativo no Hub Azure Stack não dá suporte à autenticação do Windows.SQL Server must be configured to support Mixed Mode authentication because App Service on Azure Stack Hub DOES NOT support Windows Authentication.

A instância de SQL Server para o serviço Azure App no Hub Azure Stack deve ser acessível de todas as funções do serviço de aplicativo.The SQL Server instance for Azure App Service on Azure Stack Hub must be accessible from all App Service roles. Você pode implantar SQL Server na assinatura do provedor padrão no Azure Stack Hub.You can deploy SQL Server within the Default Provider Subscription in Azure Stack Hub. Ou você pode fazer uso da infraestrutura existente dentro de sua organização (desde que haja conectividade com o Hub Azure Stack).Or you can make use of the existing infrastructure within your organization (as long as there's connectivity to Azure Stack Hub). Se você estiver usando uma imagem do Azure Marketplace, lembre-se de configurar o firewall adequadamente.If you're using an Azure Marketplace image, remember to configure the firewall accordingly.

Observação

Várias imagens de VM IaaS do SQL estão disponíveis por meio do recurso de gerenciamento do Marketplace.A number of SQL IaaS VM images are available through the Marketplace Management feature. Certifique-se de sempre baixar a versão mais recente da extensão IaaS do SQL antes de implantar uma VM usando um item do Marketplace.Make sure you always download the latest version of the SQL IaaS Extension before you deploy a VM using a Marketplace item. As imagens do SQL são as mesmas que as VMs do SQL que estão disponíveis no Azure.The SQL images are the same as the SQL VMs that are available in Azure. Para VMs do SQL criadas com base nessas imagens, a extensão de IaaS e os aprimoramentos do portal correspondente fornecem recursos como a aplicação automática de patches e recursos de backup.For SQL VMs created from these images, the IaaS extension and corresponding portal enhancements provide features such as automatic patching and backup capabilities.

Para qualquer função do SQL Server, você pode usar uma instância padrão ou uma instância nomeada.For any of the SQL Server roles, you can use a default instance or a named instance. Se você usar uma instância nomeada, não se esqueça de iniciar manualmente o serviço de SQL Server Browser e abrir a porta 1434.If you use a named instance, be sure to manually start the SQL Server Browser service and open port 1434.

O instalador do serviço de aplicativo verificará se o SQL Server tem a contenção de banco de dados habilitada.The App Service installer will check to ensure the SQL Server has database containment enabled. Para habilitar a contenção de banco de dados no SQL Server que hospedará os bancos de dados do serviço de aplicativo, execute estes comandos SQL:To enable database containment on the SQL Server that will host the App Service databases, run these SQL commands:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Questões de licenciamento para o servidor de arquivos e SQL Server necessáriosLicensing concerns for required file server and SQL Server

Azure App serviço no Hub Azure Stack requer um servidor de arquivos e SQL Server para operar.Azure App Service on Azure Stack Hub requires a file server and SQL Server to operate. Você está livre para usar recursos pré-existentes localizados fora da implantação do hub de Azure Stack ou implantar recursos em sua assinatura de provedor padrão de Hub Azure Stack.You're free to use pre-existing resources located outside of your Azure Stack Hub deployment or deploy resources within their Azure Stack Hub Default Provider Subscription.

Se você optar por implantar os recursos dentro de sua assinatura de provedor padrão do Hub Azure Stack, as licenças para esses recursos (licenças do Windows Server e licenças do SQL Server) serão incluídas no custo do serviço de Azure App no Hub Azure Stack sujeito às seguintes restrições:If you choose to deploy the resources within your Azure Stack Hub Default Provider Subscription, the licenses for those resources (Windows Server Licenses and SQL Server Licenses) are included in the cost of Azure App Service on Azure Stack Hub subject to the following constraints:

  • a infraestrutura é implantada na assinatura do provedor padrão;the infrastructure is deployed into the Default Provider Subscription;
  • a infraestrutura é usada exclusivamente pelo serviço de Azure App no provedor de recursos de Hub Azure Stack.the infrastructure is exclusively used by the Azure App Service on Azure Stack Hub resource provider. Nenhuma outra carga de trabalho, administrativa (outros provedores de recursos, por exemplo: SQL-RP) ou locatário (por exemplo: aplicativos de locatário, que exigem um banco de dados), têm permissão para fazer uso dessa infraestrutura.No other workloads, administrative (other resource providers, for example: SQL-RP) or tenant (for example: tenant apps, which require a database), are permitted to make use of this infrastructure.

Responsabilidade operacional de servidores de arquivos e SQLOperational responsibility of file and sql servers

Os operadores de nuvem são responsáveis pela manutenção e operação do servidor de arquivos e SQL Server.Cloud operators are responsible for the maintenance and operation of the File Server and SQL Server. O provedor de recursos não gerencia esses recursos.The resource provider does not manage these resources. O operador de nuvem é responsável por fazer backup dos bancos de dados do serviço de aplicativo e do compartilhamento de arquivos de conteúdo do locatário.The cloud operator is responsible for backing up the App Service databases and tenant content file share.

Recuperar o certificado raiz Azure Resource Manager para Azure Stack HubRetrieve the Azure Resource Manager root certificate for Azure Stack Hub

Abra uma sessão do PowerShell com privilégios elevados em um computador que possa alcançar o ponto de extremidade privilegiado no sistema integrado do hub de Azure Stack ou host ASDK.Open an elevated PowerShell session on a computer that can reach the privileged endpoint on the Azure Stack Hub Integrated System or ASDK Host.

Execute o script Get-AzureStackRootCert.ps1 da pasta onde você extraiu os scripts auxiliares.Run the Get-AzureStackRootCert.ps1 script from the folder where you extracted the helper scripts. O script cria um certificado raiz na mesma pasta que o script que o serviço de aplicativo precisa para criar certificados.The script creates a root certificate in the same folder as the script that App Service needs for creating certificates.

Ao executar o comando do PowerShell a seguir, você precisa fornecer o ponto de extremidade privilegiado e as credenciais para o AzureStack\CloudAdmin.When you run the following PowerShell command, you have to provide the privileged endpoint and the credentials for the AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

Get-AzureStackRootCert.ps1 parâmetros de scriptGet-AzureStackRootCert.ps1 script parameters

ParâmetroParameter Obrigatório ou opcionalRequired or optional Valor padrãoDefault value DescriçãoDescription
PrivilegedEndpointPrivilegedEndpoint ObrigatórioRequired AzS-ERCS01AzS-ERCS01 Ponto de extremidade privilegiadoPrivileged endpoint
CloudAdminCredentialCloudAdminCredential ObrigatórioRequired AzureStack\CloudAdminAzureStack\CloudAdmin Credencial de conta de domínio para administradores de nuvem do hub de Azure StackDomain account credential for Azure Stack Hub cloud admins

Configuração de rede e identidadeNetwork and identity configuration

Rede virtualVirtual network

Observação

A precriação de uma rede virtual personalizada é opcional, pois o serviço de Azure App no Hub Azure Stack pode criar a rede virtual necessária, mas, em seguida, precisará se comunicar com o SQL e o servidor de arquivos por meio de endereços IP públicos.The precreation of a custom virtual network is optional as the Azure App Service on Azure Stack Hub can create the required virtual network but will then need to communicate with SQL and File Server via public IP addresses. Se você usar o servidor de arquivos HA do serviço de aplicativo e SQL Server modelo de início rápido para implantar os recursos do SQL e do servidor de arquivos de pré-requisito, o modelo também implantará uma rede virtual.Should you use the App Service HA File Server and SQL Server Quickstart template to deploy the pre-requisite SQL and File Server resources, the template will also deploy a virtual network.

Azure App serviço no Hub Azure Stack permite que você implante o provedor de recursos em uma rede virtual existente ou permite criar uma rede virtual como parte da implantação.Azure App Service on Azure Stack Hub lets you deploy the resource provider to an existing virtual network or lets you create a virtual network as part of the deployment. O uso de uma rede virtual existente permite o uso de IPs internos para se conectar ao servidor de arquivos e SQL Server exigido pelo serviço Azure App no Hub Azure Stack.Using an existing virtual network enables the use of internal IPs to connect to the file server and SQL Server required by Azure App Service on Azure Stack Hub. A rede virtual deve ser configurada com o seguinte intervalo de endereços e sub-redes antes de instalar Azure App serviço no Hub de Azure Stack:The virtual network must be configured with the following address range and subnets before installing Azure App Service on Azure Stack Hub:

Rede virtual-/16Virtual network - /16

Sub-redesSubnets

  • ControllersSubnet/24ControllersSubnet /24
  • ManagementServersSubnet/24ManagementServersSubnet /24
  • FrontEndsSubnet/24FrontEndsSubnet /24
  • PublishersSubnet/24PublishersSubnet /24
  • WorkersSubnet/21WorkersSubnet /21

Importante

Se você optar por implantar o serviço de aplicativo em uma rede virtual existente, a SQL Server deverá ser implantada em uma sub-rede separada do serviço de aplicativo e do servidor de arquivos.If you choose to deploy App Service in an existing virtual network the SQL Server should be deployed into a separate Subnet from App Service and the File Server.

Criar um aplicativo de identidade para habilitar cenários de SSOCreate an Identity Application to Enable SSO Scenarios

Azure App serviço usa um aplicativo de identidade (entidade de serviço) para dar suporte às seguintes operações:Azure App Service uses an Identity Application (Service Principal) to support the following operations:

  • Integração do conjunto de dimensionamento de máquinas virtuais em camadas de trabalho.Virtual machine scale set integration on worker tiers.
  • SSO para o portal de Azure Functions e ferramentas de desenvolvedor avançadas (kudu).SSO for the Azure Functions portal and advanced developer tools (Kudu).

Dependendo de qual provedor de identidade o Hub de Azure Stack está usando, Azure Active Directory (Azure AD) ou Serviços de Federação do Active Directory (AD FS) (ADFS) você deve seguir as etapas apropriadas abaixo para criar a entidade de serviço para uso pelo serviço Azure App no provedor de recursos Azure Stack Hub.Depending on which identity provider the Azure Stack Hub is using, Azure Active Directory (Azure AD) or Active Directory Federation Services (ADFS) you must follow the appropriate steps below to create the service principal for use by the Azure App Service on Azure Stack Hub resource provider.

Criar um Aplicativo Azure ADCreate an Azure AD App

Siga estas etapas para criar a entidade de serviço em seu locatário do Azure AD:Follow these steps to create the service principal in your Azure AD tenant:

  1. Abra uma instância do PowerShell como azurestack\AzureStackAdmin.Open a PowerShell instance as azurestack\AzureStackAdmin.
  2. Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.Go to the location of the scripts that you downloaded and extracted in the prerequisite step.
  3. Instale o PowerShell para Azure Stack Hub.Install PowerShell for Azure Stack Hub.
  4. Execute o script Create-AADIdentityApp.ps1 .Run the Create-AADIdentityApp.ps1 script. Quando solicitado, insira a ID de locatário do Azure AD que você está usando para a implantação do hub de Azure Stack.When you're prompted, enter the Azure AD tenant ID that you're using for your Azure Stack Hub deployment. Por exemplo, digite myazurestack.onmicrosoft.com.For example, enter myazurestack.onmicrosoft.com.
  5. Na janela de credenciais , insira sua conta de administrador de serviço do Azure AD e a senha.In the Credential window, enter your Azure AD service admin account and password. Selecione OK.Select OK.
  6. Insira o caminho do arquivo de certificado e a senha do certificado para o certificado criado anteriormente.Enter the certificate file path and certificate password for the certificate created earlier. O certificado criado para esta etapa, por padrão, é SSO. appservice. local. azurestack. external. pfx.The certificate created for this step by default is sso.appservice.local.azurestack.external.pfx.
  7. Anote a ID do aplicativo retornada na saída do PowerShell.Make note of the application ID that's returned in the PowerShell output. Use a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.You use the ID in the following steps to provide consent for the application's permissions, and during installation.
  8. Abra uma nova janela do navegador e entre no portal do Azure como o administrador do serviço Azure Active Directory.Open a new browser window, and sign in to the Azure portal as the Azure Active Directory service admin.
  9. Abra o serviço Azure Active Directory.Open the Azure Active Directory service.
  10. Selecione registros de aplicativo no painel esquerdo.Select App Registrations in the left pane.
  11. Procure a ID do aplicativo que você anotou na etapa 7.Search for the application ID you noted in step 7.
  12. Selecione o registro do aplicativo do serviço de aplicativo na lista.Select the App Service application registration from the list.
  13. Selecione permissões de API no painel esquerdo.Select API permissions in the left pane.
  14. Selecione conceder consentimento de administrador <tenant> para , em que <tenant> é o nome do seu locatário do Azure AD.Select Grant admin consent for <tenant> , where <tenant> is the name of your Azure AD tenant. Confirme a concessão de consentimento selecionando Sim.Confirm the consent grant by selecting Yes.
    Create-AADIdentityApp.ps1
ParâmetroParameter Obrigatório ou opcionalRequired or optional Valor padrãoDefault value DescriçãoDescription
DirectoryTenantNameDirectoryTenantName ObrigatórioRequired NuloNull ID de locatário do Azure AD.Azure AD tenant ID. Forneça o GUID ou a cadeia de caracteres.Provide the GUID or string. Um exemplo é myazureaaddirectory.onmicrosoft.com.An example is myazureaaddirectory.onmicrosoft.com.
AdminArmEndpointAdminArmEndpoint ObrigatórioRequired NuloNull Ponto de extremidade de Azure Resource Manager do administrador.Admin Azure Resource Manager endpoint. Um exemplo é adminmanagement. local. azurestack. external.An example is adminmanagement.local.azurestack.external.
TenantARMEndpointTenantARMEndpoint ObrigatórioRequired NuloNull Ponto de extremidade de Azure Resource Manager do locatário.Tenant Azure Resource Manager endpoint. Um exemplo é Management. local. azurestack. external.An example is management.local.azurestack.external.
AzureStackAdminCredentialAzureStackAdminCredential ObrigatórioRequired NuloNull Credencial de administrador de serviço do Azure AD.Azure AD service admin credential.
CertificateFilePathCertificateFilePath ObrigatórioRequired NuloNull Caminho completo para o arquivo de certificado de aplicativo de identidade gerado anteriormente.Full path to the identity application certificate file generated earlier.
CertificatePasswordCertificatePassword ObrigatórioRequired NuloNull Senha que ajuda a proteger a chave privada do certificado.Password that helps protect the certificate private key.
AmbienteEnvironment OpcionalOptional AzureCloudAzureCloud O nome do ambiente de nuvem com suporte no qual o serviço de grafo de destino Azure Active Directory está disponível.The name of the supported Cloud Environment in which the target Azure Active Directory Graph Service is available. Valores permitidos: ' AzureCloud ', ' AzureChinaCloud ', ' AzureUSGovernment ', ' AzureGermanCloud '.Allowed values: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'.

Criar um aplicativo do ADFSCreate an ADFS app

  1. Abra uma instância do PowerShell como azurestack\AzureStackAdmin.Open a PowerShell instance as azurestack\AzureStackAdmin.
  2. Vá para o local dos scripts que você baixou e extraiu na etapa de pré-requisito.Go to the location of the scripts that you downloaded and extracted in the prerequisite step.
  3. Instale o PowerShell para Azure Stack Hub.Install PowerShell for Azure Stack Hub.
  4. Execute o script Create-ADFSIdentityApp.ps1 .Run the Create-ADFSIdentityApp.ps1 script.
  5. Na janela de credenciais , insira sua conta de administrador de nuvem AD FS e senha.In the Credential window, enter your AD FS cloud admin account and password. Selecione OK.Select OK.
  6. Forneça o caminho do arquivo de certificado e a senha do certificado para o certificado criado anteriormente.Provide the certificate file path and certificate password for the certificate created earlier. O certificado criado para esta etapa, por padrão, é SSO. appservice. local. azurestack. external. pfx.The certificate created for this step by default is sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
ParâmetroParameter Obrigatório ou opcionalRequired or optional Valor padrãoDefault value DescriçãoDescription
AdminArmEndpointAdminArmEndpoint ObrigatórioRequired NuloNull Ponto de extremidade de Azure Resource Manager do administrador.Admin Azure Resource Manager endpoint. Um exemplo é adminmanagement. local. azurestack. external.An example is adminmanagement.local.azurestack.external.
PrivilegedEndpointPrivilegedEndpoint ObrigatórioRequired NuloNull Ponto de extremidade privilegiado.Privileged endpoint. Um exemplo é AzS-ERCS01.An example is AzS-ERCS01.
CloudAdminCredentialCloudAdminCredential ObrigatórioRequired NuloNull Credenciais de conta de domínio para administradores de nuvem do hub de Azure Stack.Domain account credential for Azure Stack Hub cloud admins. Um exemplo é Azurestack\CloudAdmin.An example is Azurestack\CloudAdmin.
CertificateFilePathCertificateFilePath ObrigatórioRequired NuloNull Caminho completo do arquivo PFX do certificado do aplicativo de identidade.Full path to the identity application's certificate PFX file.
CertificatePasswordCertificatePassword ObrigatórioRequired NuloNull Senha que ajuda a proteger a chave privada do certificado.Password that helps protect the certificate private key.

Baixar itens do Azure MarketplaceDownload items from the Azure Marketplace

Azure App serviço no Hub Azure Stack requer que os itens sejam baixados do Azure Marketplace, tornando-os disponíveis no Marketplace do Hub de Azure Stack.Azure App Service on Azure Stack Hub requires items to be downloaded from the Azure Marketplace, making them available in the Azure Stack Hub Marketplace. Esses itens devem ser baixados antes de iniciar a implantação ou atualização do serviço de Azure App no Hub Azure Stack:These items must be downloaded before you start the deployment or upgrade of Azure App Service on Azure Stack Hub:

Importante

O Windows Server Core não é uma imagem de plataforma com suporte para uso com Azure App serviço no Hub Azure Stack.Windows Server Core is not a supported platform image for use with Azure App Service on Azure Stack Hub.

Não use imagens de avaliação para implantações de produção.Do not use evaluation images for production deployments.

  1. A versão mais recente da imagem da VM do Windows Server 2016 datacenter.The latest version of Windows Server 2016 Datacenter VM image.
  1. Imagem de VM completa do Windows Server 2016 datacenter com o Microsoft.net 3.5.1 SP1 ativado.Windows Server 2016 Datacenter Full VM image with Microsoft.Net 3.5.1 SP1 activated. Azure App serviço no Hub Azure Stack requer que o Microsoft .NET 3.5.1 SP1 seja ativado na imagem usada para implantação.Azure App Service on Azure Stack Hub requires that Microsoft .NET 3.5.1 SP1 is activated on the image used for deployment. As imagens do Windows Server 2016 agregadas do Marketplace não têm esse recurso habilitado e, em ambientes desconectados, não conseguem alcançar Microsoft Update para baixar os pacotes para instalação via DISM.Marketplace-syndicated Windows Server 2016 images don't have this feature enabled and in disconnected environments are unable to reach Microsoft Update to download the packages to install via DISM. Portanto, você deve criar e usar uma imagem do Windows Server 2016 com esse recurso habilitado previamente com implantações desconectadas.Therefore, you must create and use a Windows Server 2016 image with this feature pre-enabled with disconnected deployments.

    Consulte Adicionar uma imagem de VM personalizada ao Hub Azure Stack para obter detalhes sobre como criar uma imagem personalizada e adicionar ao Marketplace.See Add a custom VM image to Azure Stack Hub for details on creating a custom image and adding to Marketplace. Certifique-se de especificar as seguintes propriedades ao adicionar a imagem ao Marketplace:Be sure to specify the following properties when adding the image to Marketplace:

    • Editor = MicrosoftWindowsServerPublisher = MicrosoftWindowsServer
    • Oferta = WindowsServerOffer = WindowsServer
    • SKU = 2016-datacenterSKU = 2016-Datacenter
    • Versão = especifique a versão "mais recente"Version = Specify the "latest" version
  1. Extensão de script personalizado v 1.9.1 ou superior.Custom Script Extension v1.9.1 or greater. Este item é uma extensão de VM.This item is a VM extension.

Próximas etapasNext steps

Instalar o provedor de recursos do serviço de aplicativoInstall the App Service resource provider